国家信息安全等级保护培训试卷
单选题:
1. _______国家首次以行政法规形式明确了“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”等具体制度、任务和职责分工。
A:1994年 B:1995年 C:1996年 D:2003年
2. 信息系统运营、使用单位按照《信息安全等级保护管理办法》的要求部署开展技术测评工作。对第三级信息系统_______开展一次技术测评。
A:每半年 B:每一年 C:每两年 D:每三年
3. 《管理办法》提出了对不同级别信息系统的监督管理要求,对于第三级信息系统属于_______。
A:监督保护级B:指导保护级C:强制保护级D: 自主保护级 E:专控保护级
4. 某信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。那么该信息系统属于_______。
A:第一级B:第二级 C:第三级 D:第四级
5. 某信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,但不对国家安全造成损害。那么该信息系统属于_______信息系统。
A:第一级 B:第二级C:第三级 D:第四级
6. 确定对客体的侵害程度中,工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。那么可以确定对客体的侵害程度是_______。
A:无损害 B:一般损害C:严重损害 D:特别严重损害
7. 某单位的信息系统的业务信息安全保护等级三级,系统服务安全保护等级为一级,那么该信息系统安全保护等级为 ____。
A:一级 B:二级C:三级 D:四级
8. 《信息安全等级保护管理办法》规定第______级以上信息系统应当优先选择使用我国自主研发的信息安全产品。A:一 B:二 C:三 D:四
9. ______是等级保护工作的牵头部门。
A 公安机关 B国家保密工作部门 C国家密码管理部门 D 工业和信息化部门
10. 公安机关和国家保密工作部门职责划分以信息系统是否涉及国家秘密为边界,涉及国家秘密的信息系统分级保护由_____负责。
A 公安机关B国家保密工作部门C国家密码管理部门 D 单位主管部门
11. 信息系统安全等级保护定级工作要坚持_______、专家评审、主管部门审批、公安机关审核的原则。A:自主定级 B:强制定级 C:随意定级 D:指导定级
12. 信息安全等级保护标准体系中基础标准是_____。
A《计算机信息系统安全保护等级划分准则》GB17859
B《信息系统通用安全技术要求》
C《信息系统安全设计要求》
D《信息系统安全工程管理要求》
13信息系统运营使用单位最终确定信息系统等级后,应出具_______。
A:《信息系统情况调查表》 B:《信息系统安全等级保护定级细则》
C:《信息系统安全等级保护定级通知》D:《信息系统安全等级保护定级报告》
14. 《计算机信息系统安全保护等级划分准则》明确了信息系统安全保护能力的等级划分,第三级级别的信息系统应具有的安全保护能力是_______。
A: 应具有能够对抗来自个人的、拥有很少资源(如利用公开获取的工具等)的威胁发起的恶意攻击、B: 应具有能够对抗来自小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(个别人员能力、公开可获或特定开发的工具等)以及其他相当危害程度(无意失误、设备故障等)威胁的能力
C:应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、
D:应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击。
15. 确定信息系统安全保护等级的一般流程,排序正确的是________. ( )
①确定业务信息安全受到破坏时所侵害的客体;
②确定定级对象的安全保护等级
③评定业务信息安全被破坏对客体的侵害程度;
④确定业务信息安全保护等级;
⑤确定作为定级对象的信息系统;
⑥确定系统服务安全受到破坏时所侵害的客体;
⑦确定系统服务安全保护等级;
⑧评定系统服务安全被破坏对客体的侵害程度;
A:①②③④⑧⑥⑦⑤ B:⑤③①④⑦⑧⑥②
C:⑤①③④⑥⑧⑦② D: ⑤②①③④⑥⑧⑦
16. 《信息安全等级保护基本要求》中的技术要求主要包过网络安全、主机安全、应用安全、_______5个层面。
A:物理安全、人员安全B物理安全、数据安全及备份恢复
C安全管理制度、人员安全D安全管理制度、数据安全及备份恢复
17. 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案,跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向________备案。
A: 当地的县级以上公安机关B:当地的市级以上公安机关 C:北京市公安局 D:公安部
18. 新建系统在规划设计阶段应________,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。()
A确定等级 B进行测评 C 进行备案 D进行整改
19. 地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。这类信息系统一般定为________。
A 一级
B 二级
C 三级 D四级
20. “县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统”属于第_____级信息系统。
A 一
B 二 C三 D四 E 五
多选题 (至少有两个选项)
1. 《信息系统安全等级保护基本要求》提出了各级信息系统应当具备的安全保护能力,并从_____和____两方面提出了相应的措施。()
A 产品
B 管理
C 应用D技术
2. 根据《信息安全等级保护定级指南》,定级对象应具有如下三个基本特征:__________。
A具有唯一确定的安全责任单位B整个网络
C具有信息系统的基本要素。 D承载单一或相对独立的业务应用。
3. 开展安全管理制度建设的内容包括_____。
A落实信息安全责任制B落实人员安全管理制度C落实系统建设管理制度D落实系统运维管理制度
4. .以下说法正确的是:()
A《信息安全等级保护基本要求》是信息系统安全建设整改的基本目标
B《信息系统等级保护安全设计技术要求》是实现基本目标的方法和途径之一
C《信息安全等级保护基本要求》中不包含安全设计和工程实施等内容
D在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。
5. 关于第三级信息系统,以下说法正确的是:( )
A:一般适用于县级某些单位中的重要信息系统;
B:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;
C:一般适用于跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;
D:一般适用于中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
6. 侵害社会秩序的事项包括以下哪几个方面?()
A 影响国家机关社会管理和公共服务的工作秩序;
B 影响各种类型的经济活动秩序;
C影响公众在法律约束和道德规范下的正常生活秩序
D 影响各行业的科研、生产秩序;
7.信息系统安全等级保护实施过程中,运营、使用单位的职责包括:()
A:确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;
B:根据已经确定的安全保护等级,到公安机关办理备案手续;
C:定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;
D开展信息系统安全建设或者整改工作;制定、落实各项安全管理制度;
8.以下哪些系统受破坏时,侵害客体可能是国家安全。()
A:重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统
B:广播、电视、网络等重要新闻媒体的发布或播出系统
C:处理国家对外活动信息的信息系统
D:电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统
9. 信息安全等级保护工作的主要内容包括()
A:对信息系统分等级进行安全保护和监管
B:信息安全产品分等级使用管理
C:信息安全事件分等级响应、处置
D:信息安全系统分安全人员进行培训
10. 对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的情况;以下内容正确的是:()
A:公安机关可以受理其备案
B:公安机关不可以受理其备案
C:公安机关应当书面告知备案单位承担由此引发的责任和后果
D:公安机关经上级公安机关同意后,同时应通报备案单位上级主管部门
判断题????答案呢
1.根据《管理办法》和《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》要求,第三级(含)以上信息系统备案单位必须按期开展等级测评。
2. 按照“谁受理备案、谁负责检查”的原则,对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。
3. 对第四级信息系统的运营使用单位信息安全等级保护工作每年检查一次。
4.对于未按《管理办法》规定开展等级测评已责令其限期改正,逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责任的主管人员和其他直接责任人员予以处理。
5.信息系统运营、使用单位有主管部门的,主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。
6. 第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重损害。
7. 同类信息系统的安全保护等级应随着部、省、市行政级别的降低而降低。
8. 各部委统一定级的信息系统在各地的分支系统(包括终端连接、安装上级系统运行的没有数据库的分系统),如是上级主管部门定级的,不用到当地公安网络安全保卫部门备案。
9. 第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。
10.对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
11. 公安机关检查时,发现信息系统安全保护等级定级不准确的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》。
12.等级测评的结果将是国家信息安全监督管理部门依法行政管理的技术依据。因此等级测评活动是一项政策性很强和技术专业化的信息安全服务。
13. 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体侵害程度可能会有所不同,在定级过程中,需要分别分析这两种危害。
14. 在信息系统的运行过程中,当运行状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据标准重新定级。
15. 备案单位备案时应提交《信息系统安全等级保护备案表》(一式两份),不必提交《信息系统安全等级保护备案表》电子文档。
16.某单位隶属于中央,办公地点在广西,该单位的信息系统属于全国统一联网运行的分支系统,应当向当地市级以上公安机关备案。
17.第二级以上信息系统备案时需提交《备案表》中的表一、二、三。此外,第三级以上信息系统备案单位应在系统整改、测评完成后30日内,向受理备案的公安机关网安部门补充提交《备案表》表四及其有关附件材料。
18.确定定级对象中,应避免将某个单一的系统组件,如一个服务器、一个终端、一个网络设备等作为定级对象。
19.《基本要求》中的安全技术要求中的物理安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。
20.定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
信息技术安全试题
一、判断题
1.根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。正确
2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。错误
3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。错误
4. 我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。正确
5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。正确
6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。错误
7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。正确
8.Windows 2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。正确
9.信息安全等同于网络安全。错误
10.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。正确
11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。正确
12.PKI系统所有的安全操作都是通过数字证书来实现的。正确
13.PKI系统使用了非对称算法、对称算法和散列算法。正确
14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。正确
15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。正确
16. 实现信息安全的途径要借助两方面的控制措施:技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。正确
17.按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。正确
18.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。正确
19.一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。错误
20. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。正确
21.网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。正确
22.网络边统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。错误
23. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。正确
24. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。错误
25. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。正确
26.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。正确
27.防火墙在静态包过滤技术的基础上,通过会话状态检测技术将数据包的过滤处理效率大幅提高。正确
28. 通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。正确
29. 脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。正确
二.单项选择题
30.下列关于信息的说法____是错误的。D
A 信息是人类社会发展的重要支柱
B 信息本身是无形的
C 信息具有价值,需要保护
D 信息可以以独立形态存在
31. 信息安全经历了三个发展阶段,以下____不属于这三个发展阶段。B
A 通信保密阶段
B 加密机阶段
C 信息安全阶段
D 安全保障阶段
32.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。C
A 不可否认性
B 可用性
C 保密性
D 完整性
33.信息安全在通信保密阶段中主要应用于____领域。A
A 军事
B 商业
C 科研
D 教育
34.信息安全阶段将研究领域扩展到三个基本属性,下列____不属于这三个基本属性。C
A 保密性
B 完整性
C 不可否认性
D 可用性
35.安全保障阶段中将信息安全体系归结为四个主要环节,下列____是正确的。D
A 策略、保护、响应、恢复
B 加密、认证、保护、检测
C 策略、网络攻防、密码学、备份
D 保护、检测、响应、恢复
36. 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。A
A 杀毒软件
B 数字证书认证
C 防火墙
D 数据库加密
37. 根据ISO的信息安全定义,下列选项中____是信息安全三个基本属性之一。B
A 真实性
B 可用性
C 可审计性
D 可靠性
38. 为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的____属性。A
A 保密性
B 完整性
C 可靠性
D 可用性
39. 定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的____属性。D
A 真实性
B 完整性
C 不可否认性
D 可用性
40. 数据在存储过程中发生了非法访问行为,这破坏了信息安全的____属性。A
A 保密性
B 完整性
C 不可否认性
D 可用性
41. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的___属性。B A 保密性 B 完整性 C 不可否认性 D 可用性
42. PDR安全模型属于____类型。A
A 时间模型
B 作用模型
C 结构模型
D 关系模型
43. 《信息安全国家学说》是____的信息安全基本纲领性文件。C
A 法国
B 美国
C 俄罗斯
D 英国
44.下列的____犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。A
A 窃取国家秘密
B 非法侵入计算机信息系统
C 破坏计算机信息系统
D 利用计算机实施金融诈骗
45.我国刑法____规定了非法侵入计算机信息系统罪。B
A 第284条
B 第285条
C 第286条
D 第287条
46.信息安全领域内最关键和最薄弱的环节是____。D
A 技术
B 策略
C 管理制度
D 人
47.信息安全管理领域权威的标准是____。B
A ISO 15408
B ISO 17799/IS0 27001
C IS0 9001
D ISO 14001
48.IS0 17799/IS0 27001最初是由____提出的国家标准。C
A 美国
B 澳大利亚
C 英国
D 中国
49.IS0 17799的内容结构按照____进行组织。C
A 管理原则
B 管理框架
C 管理域一控制目标一控制措施
D 管理制度
50.____对于信息安全管理负有责任。D
A 高级管理层
B 安全管理员
C IT管理员
D 所有与信息系统有关人员
52. 《计算机信息系统安全保护条例》是由中华人民共和国____第147号发布的。A
A 国务院令
B 全国人民代表大会令
C 公安部令
D 国家安全部令
53. 《互联网上网服务营业场所管理条例》规定,____负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。B
A 人民法院
B 公安机关
C 工商行政管理部门
D 国家安全部门
54. 计算机病毒最本质的特性是____。C
A 寄生性
B 潜伏性
C 破坏性
D 攻击性
55. ____安全策略是得到大部分需求的支持并同时能够保护企业的利益。A
A 有效的
B 合法的
C 实际的
D 成熟的
56. 在PDR安全模型中最核心的组件是____。A
A 策略
B 保护措施
C 检测措施
D 响应措施
57. 制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的__。B
A 恢复预算是多少
B 恢复时间是多长
C 恢复人员有几个
D 恢复设备有多少
58. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的成果文档被称为____。A
A 可接受使用策略AUP
B 安全方针
C 适用性声明
D 操作规范
59. 防止静态信息被非授权访问和防止动态信息被截取解密是____。D
A 数据完整性
B 数据可用性
C 数据可靠性
D 数据保密性
60. 用户身份鉴别是通过____完成的。A
A 口令验证
B 审计策略
C 存取控制
D 查询功能
61. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以____。B
A 3年以下有期徒刑或拘役
B 警告或者处以5000元以下的罚款
C 5年以上7年以下有期徒刑
D 警告或者15000元以下的罚款
62. 网络数据备份的实现主要需要考虑的问题不包括____。A
A 架设高速局域网
B 分析应用环境
C 选择备份硬件设备
D 选择备份管理软件
63. 《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在____向当地县级以上人民政府公安机关报告。C
A 8小时内
B 12小时内
C 24小时内
D 48小时内
64. 公安部网络违法案件举报网站的网址是____。C
A B C D
65. 对于违反信息安全法律、法规行为的行政处罚中,____是较轻的处罚方式。A
A 警告
B 罚款
C 没收违法所得
D 吊销许可证
66. 对于违法行为的罚款处罚,属于行政处罚中的____。C
A 人身自由罚
B 声誉罚
C 财产罚
D 资格罚
67. 对于违法行为的通报批评处罚,属于行政处罚中的____。B
A 人身自由罚
B 声誉罚
C 财产罚
D 资格罚
68. 1994年2月国务院发布的《计算机信息系统安全保护条例》赋予____对计算机信息系统的安全保护工作行使监督管理职权。C
A 信息产业部
B 全国人大
C 公安机关
D 国家工商总局
69. 《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。D
A 7
B 10
C 15
D 30
70.互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存___天记录备份的功能。C
A 10
B 30
C 60
D 90
71. 对网络层数据包进行过滤和控制的信息安全技术机制是____。A
A 防火墙
B IDS
C Sniffer
D IPSec
72. 下列不属于防火墙核心技术的是____。D
A (静态/动态)包过滤技术
B NA T技术
C 应用代理技术
D 日志审计
73. 应用代理防火墙的主要优点是____。B
A 加密强度更高
B 安全控制更细化、更灵活
C 安全服务的透明性更好
D 服务对象更广泛
74. 安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于____控制措施。A
A 管理
B 检测
C 响应
D 运行
75.安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于____控制措施。B
A 管理
B 检测
C 响应
D 运行
76. 下列选项中不属于人员安全管理措施的是____。A
A 行为监控
B 安全培训
C 人员离岗
D 背景/技能审查
77. 《计算机病毒防治管理办法》规定,____主管全国的计算机病毒防治管理工作。C
A 信息产业部
B 国家病毒防范管理中心
C 公安部公共信息网络安全监察
D 国务院信息化建设领导小组
78. 计算机病毒的实时监控属于____类的技术措施。B
A 保护
B 检测
C 响应
D 恢复
79. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____。B
A 防火墙隔离
B 安装安全补丁程序
C 专用病毒查杀工具
D 部署网络入侵检测系统
80. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是____。A
A 防火墙隔离
B 安装安全补丁程序
C 专用病毒查杀工具
D 部署网络入侵检测系统
81. 下列不属于网络蠕虫病毒的是____。C
A 冲击波
B SQLSLAMMER
C CIH
D 振荡波
82. 传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了____等重要网络资源。A
A 网络带宽
B 数据包
C 防火墙
D LINUX
83. 不是计算机病毒所具有的特点____。D
A 传染性
B 破坏性
C 潜伏性
D 可预见性
84. 关于灾难恢复计划错误的说法是____。C
A 应考虑各种意外情况
B 制定详细的应对处理办法
C 建立框架性指导原则,不必关注于细节
D 正式发布前,要进行讨论和评审
85. 对远程访问型VPN来说,__产品经常与防火墙及NA T机制存在兼容性问题,导致安全隧道建立失败。A
A IPSec VPN
B SSL VPN
C MPLS VPN
D L2TP VPN
86. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为____个等级,并提出每个级别的安全功能要求。D
A 7
B 8
C 6
D 5
87. 等级保护标准GB l7859主要是参考了____而提出。B
A 欧洲ITSEC
B 美国TCSE
C C CC
D BS 7799
88. 我国在1999年发布的国家标准____为信息安全等级保护奠定了基础。C
A G
B 17799 B GB 15408
C GB 17859
D GB 14430
89. 信息安全等级保护的5个级别中,____是最高级别,属于关系到国计民生的最关键信息系统的保护。B
A 强制保护级
B 专控保护级
C 监督保护级
D 指导保护级
E 自主保护级
90. 《信息系统安全等级保护实施指南》将____作为实施等级保护的第一项重要内容。A
A 安全定级
B 安全评估
C 安全规划
D 安全实施
91. ___是进行等级确定和等级保护管理的最终对象。C
A 业务系统
B 功能模块
C 信息系统
D 网络系统
92. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由____所确定。B
A 业务子系统的安全等级平均值
B 业务子系统的最高安全等级
C 业务子系统的最低安全等级
D 以上说法都错误
93. 下列关于风险的说法,____是错误的。C
A 风险是客观存在的
B 导致风险的外因是普遍存在的安全威胁
C 导致风险的外因是普遍存在的安全脆弱性
D 风险是指一种可能性
94. 下列关于风险的说法,____是正确的。B
A 可以采取适当措施,完全清除风险
B 任何措施都无法完全清除风险
C 风险是对安全事件的确定描述
D 风险是固有的,无法被控制
95. 风险管理的首要任务是____。A
A 风险识别和评估
B 风险转嫁
C 风险控制
D 接受风险
96. 关于资产价值的评估,____说法是正确的。D
A 资产的价值指采购费用
B 资产的价值无法估计
C 资产价值的定量评估要比定性评估简单容易
D 资产的价值与其重要性密切相关
97. 采取适当的安全控制措施,可以对风险起到____作用。C
A 促进
B 增加
C 减缓
D 清除
98. 当采取了安全控制措施后,剩余风险____可接受风险的时候,说明风险管理是有效的。C
A 等于
B 大于
C 小于
D 不等于
99. 安全威胁是产生安全事件的____。B
A 内因
B 外因
C 根本原因
D 不相关因素
100. 安全脆弱性是产生安全事件的____。A
A 内因
B 外因
C 根本原因
D 不相关因素
101. 下列关于用户口令说法错误的是____。C
A 口令不能设置为空
B 口令长度越长,安全性越高
C 复杂口令安全性足够高,不需要定期修改
D 口令认证是最常见的认证机制
102. 在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列____具有最好的口令复杂度。B
A morrison
B Wm.$*F2m5@
C 27776394
D wangjingl977
103. 按照通常的口令使用策略,口令修改操作的周期应为____天。A
A 60
B 90
C 30
D 120
104. 对口令进行安全性管理和使用,最终是为了____。B
A 口令不被攻击者非法获得
B 防止攻击者非法获得访问和操作权限
C 保证用户帐户的安全性
D 规范用户操作行为
105. 人们设计了____,以改善口令认证自身安全性不足的问题。D
A 统一身份管理
B 指纹认证
C 数字证书认证
D 动态口令认证机制
106. PKI是____。C
A Private Key lnfrastructure
B Public Key lnstitute
C Public Key lnfrastructure
D Private Key lnstitute
107. 公钥密码基础设施PKI解决了信息系统中的____问题。A
A 身份信任
B 权限管理
C 安全审计
D 加密
108. PKI所管理的基本元素是____。C
A 密钥
B 用户身份
C 数字证书
D 数字签名
109. 最终提交给普通终端用户,并且要求其签署和遵守的安全策略是____。C
A 口令策略
B 保密协议
C 可接受使用策略
D 责任追究制度
110. 下列关于信息安全策略维护的说法,____是错误的。B
A 安全策略的维护应当由专门的部门完成
B 安全策略制定完成并发布之后,不需要再对其进行修改
C 应当定期对安全策略进行审查和修订
D 维护工作应当周期性进行
111. 链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是__。C A 比特流 B IP数据包 C 数据帧 D 应用数据
112. 防火墙最主要被部署在____位置。A
A 网络边界
B 骨干线路
C 重要服务器
D 桌面终端
113. 下列关于防火墙的错误说法是____。D
A 防火墙工作在网络层
B 对IP数据包进行分析和过滤
C 重要的边界保护机制
D 部署防火墙,就解决了网络安全问题
114. IPSec协议工作在____层次。B
A 数据链路层
B 网络层
C 应用层
D 传输层
115. IPSec协议中涉及到密钥管理的重要协议是____。A
A IKE
B AH
C ESP
D SSL
116. 信息安全管理中,___负责保证安全管理策略与制度符合更高层法律、法规的要求,不发生矛盾和冲突。B
A 组织管理
B 合规性管理
C 人员管理
D 制度管理
117. 下列____机制不属于应用层安全。C
A 数字签名
B 应用代理
C 主机入侵检测
D 应用审计
118. 保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为____。B
A 适度安全原则
B 授权最小化原则
C 分权原则
D 木桶原则
119. 入侵检测技术可以分为误用检测和____两大类。C
A 病毒检测
B 详细检测
C 异常检测
D 漏洞检测
120. 安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于____措施。B
A 保护
B 检测
C 响应
D 恢复
121. ____不属于必需的灾前预防性措施。D
A 防火设施
B 数据备份
C 配置冗余设备
D 不间断电源,至少应给服务器等关键设备配备
122. 对于人员管理的描述错误的是____。B
A 人员管理是安全管理的重要环节
B 安全授权不是人员管理的手段
C 安全教育是人员管理的有力手段
D 人员管理时,安全审查是必须的
123. 根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行____。B
A 逻辑隔离
B 物理隔离
C 安装防火墙
D VLAN划分
124. 安全评估技术采用____这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。A
A 安全扫描器
B 安全扫描仪
C 自动扫描器
D 自动扫描仪
125. ___最好地描述了数字证书。A
A 等同于在网络上证明个人和公司身份的身份证
B 浏览器的一标准特性,它使得黑客不能得知用户的身份
C 网站要求用户使用用户名和密码登陆的安全机制
D 伴随在线交易证明购买的收据126. 根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是____。B
A 全面性
B 文档化
C 先进性
D 制度化
127. 根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS7799中与此有关的一个重要方面就是_C
A 访问控制
B 业务连续性
C 信息系统获取、开发与维护
D 组织与人员
128. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的____。C
A 强制保护级
B 监督保护级
C 指导保护级
D 自主保护级
129. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于____。D
A 强制保护级
B 监督保护级
C 指导保护级
D 自主保护级
130. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的____。B
A 强制保护级
B 监督保护级
C 指导保护级
D 自主保护级
131. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的__A__。
A 强制保护级
B 监督保护级
C 指导保护级
D 自主保护级
132. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的____。A
A 专控保护级
B 监督保护级
C 指导保护级
D 自主保护级
133. GB l7859借鉴了TCSEC标准,这个TCSEC是____国家标准。C
A 英国
B 意大利
C 美国
D 俄罗斯
134. 关于口令认证机制,下列说法正确的是____。B
A 实现代价最低,安全性最高
B 实现代价最低,安全性最低
C 实现代价最高,安全性最高
D 实现代价最高,安全性最低
135. 根据BS 7799的规定,访问控制机制在信息安全保障体系中属于____环节。A
A 保护
B 检测
C 响应
D 恢复
136. 身份认证的含义是____。C
A 注册一个用户
B 标识一个用户
C 验证一个用户
D 授权一个用户
137. 口令机制通常用于____ 。A
A 认证
B 标识
C 注册
D 授权
138. 对日志数据进行审计检查,属于____类控制措施。B
A 预防
B 检测
C 威慑
D 修正
139. 《信息系统安全等级保护测评准则》将测评分为安全控制测评和____测评两方面。A
A 系统整体
B 人员
C 组织
D 网络
140. 根据风险管理的看法,资产____价值,____脆弱性,被安全威胁____,____风险。B
A 存在利用导致具有
B 具有存在利用导致
C 导致存在具有利用
D 利用导致存在具有
141. 根据定量风险评估的方法,下列表达式正确的是____。A
A SLE=A V x EF
B ALE=A V x EF
C ALE=SLE x EF
D ALE=SL
E x A V
142. 防火墙能够____。B
A 防范恶意的知情者
B 防范通过它的恶意连接
C 防备新的网络安全问题
D 完全防止传送已被病毒感染的软件和文件
143. 下列四项中不属于计算机病毒特征的是____。C
A 潜伏性
B 传染性
C 免疫性
D 破坏性
144. 关于入侵检测技术,下列描述错误的是____。A
A 入侵检测系统不对系统或网络造成任何影响
B 审计数据或系统日志信息是入侵检测系统的一项主要信息来源
C 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵
D 基于网络的入侵检测系统无法检查加密的数据流
145. 安全扫描可以____。C
A 弥补由于认证机制薄弱带来的问题
B 弥补由于协议本身而产生的问题
C 弥补防火墙对内网安全威胁检测不足的问题
D 扫描检测所有的数据包攻击,分析所有的数据流146. 下述关于安全扫描和安全扫描系统的描述错误的是____。B
A 安全扫描在企业部署安全策略中处于非常重要地位
B 安全扫描系统可用于管理和维护信息安全设备的安全
C 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
D 安全扫描系统是把双刃剑
147. 关于安全审计目的描述错误的是____。D
A 识别和分析未经授权的动作或攻击
B 记录用户活动和系统管理
C 将动作归结到为其负责的实体
D 实现对安全事件的应急响应
148. 安全审计跟踪是____。A
A 安全审计系统检测并追踪安全事件的过程
B 安全审计系统收集易于安全审计的数据
C 人利用日志信息进行安全事件分析和追溯的过程
D 对计算机系统中的某种行为的详尽跟踪和观察
149. 根据《计算机信息系统国际联网保密管理规定》的规定,凡向国际联网的站点提供或发布信息,必须经过____。C
A 内容过滤处理
B 单位领导同意
C 备案制度
D 保密审查批准
150. 根据《计算机信息系统国际联网保密管理规定》的规定,上网信息的保密管理坚持____的原则C